Conexiones OAuth
Tableau Server admite OAuth para varios conectores diferentes. En muchos casos, la funcionalidad de OAuth no requiere una configuración adicional en Tableau Server.
En Tableau, al iniciar sesión en los datos con un conector que utiliza OAuth, se redirecciona a los usuarios a la página de inicio de sesión del proveedor de autenticación. Después de indicar las credenciales y de autorizar a Tableau para que acceda a los datos, el proveedor de autenticación envía a Tableau un token de acceso que identifica Tableau y a los usuarios. Este token de acceso se utiliza para acceder a los datos en nombre de los usuarios. Para obtener más información, consulte Descripción general del proceso de OAuth a continuación.
El uso de las conexiones basadas en OAuth proporciona las siguientes ventajas:
Seguridad: Sus credenciales de base de datos no se conocen nunca ni se almacenan en Tableau Server, y el token de acceso solo puede utilizarlo Tableau en nombre de los usuarios.
Comodidad: en lugar de tener que integrar su ID de fuente de datos y su contraseña en varios lugares, puede usar el token proporcionado para una fuente de datos concreta en todos los libros de trabajo publicados y fuentes de datos que acceden a ese proveedor de datos.
Nota: Para conexiones en tiempo real con datos de Google BigQuery, cada visor de libro de trabajo tiene un token de acceso exclusivo que identifica al usuario, en lugar de compartir unas credenciales únicas de nombre de usuario y contraseña.
Descripción general del proceso de OAuth
Los siguientes pasos describen un flujo de trabajo en el entorno de Tableau que se conoce como el proceso OAuth.
Un usuario realiza una acción que requiere acceso a una fuente de datos en la nube.
Por ejemplo, abre un libro de trabajo publicado en Tableau Server.
Tableau direcciona al usuario a la página de inicio de sesión del proveedor de datos en la nube. La información que se envía al proveedor de datos identifica a Tableau como el sitio solicitante.
Cuando el usuario inicia sesión en los datos, el proveedor le pide que confirme su autorización para que Tableau Server acceda a los datos.
Una vez confirmado, el proveedor de datos envía un token de acceso a Tableau Server.
Tableau Server le presenta su libro de trabajo y los datos al usuario.
Los siguientes flujos de trabajo del usuario pueden utilizar el proceso de OAuth:
Creación de un libro de trabajo y conexión a la fuente de datos desde Tableau Desktop o Tableau Server.
Publicación de una fuente de datos desde Tableau Desktop.
Se inicia sesión en Tableau Server desde un cliente aprobado, como Tableau Mobile o Tableau Desktop.
Conectores de credenciales guardadas predeterminados
Las credenciales guardadas se refieren a la funcionalidad en la que Tableau Server almacena tokens de usuario para las conexiones de OAuth. Esto permite a los usuarios guardar sus credenciales de OAuth en su perfil de usuario en Tableau Server. Después de guardar las credenciales, no se les pedirá que publiquen, editen ni actualicen posteriormente al acceder al conector.
Nota: Al editar flujos de Tableau Prep en la web, es posible que aún se le solicite volver a autenticarse.
Los siguientes conectores usan credenciales guardadas de forma predeterminada y no requieren configuración adicional en Tableau Server.
- Anaplan
- Box
- Dropbox
- Esri ArcGIS Server
- Google Ads, Google Drive
- LinkedIn Sales Navigator
- Marketo
- OneDrive (se requiere configuración adicional a partir de 2022.3)
- Oracle Eloqua
- ServiceNow ITSM
- Snowflake: para utilizar un "enlace privado" se requiere una configuración adicional. Para obtener más información, consulte Configurar OAuth de Snowflake para aplicaciones de socios(El enlace se abre en una ventana nueva) en el sitio web de Snowflake y Cambiar OAuth de Snowflake a Credenciales guardadas .
Los siguientes conectores pueden usar credenciales guardadas con configuración adicional por parte del administrador del servidor.
Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database, Databricks
Para obtener más información, consulte Configurar Azure AD para OAuth y autenticación moderna.
Dremio
Para obtener más información, consulte Configurar OAuth para Dremio.
Google Analytics, Google BigQuery, Hojas de cálculo de Google (obsoleto en Tableau 2022.1)
Para obtener más información, consulte Configurar OAuth para Google.
Intuit QuickBooks Online
Para obtener más información, consulte Configurar OAuth para Intuit QuickBooks Online.
OneDrive (a partir de 2022.3)
Para obtener más información, consulte Configurar OAuth personalizado para un sitio.
Salesforce
Para obtener más información, consulte Cambiar OAuth de Salesforce.com a Credenciales guardadas.
Salesforce CDP
Para obtener más información, consulte Conectar Tableau Server a Salesforce Data Cloud.
Nota: Si Tableau Server no aparece en la lista de aplicaciones a las que se accede en la consola de administración de Google, puede agregar manualmente una nueva aplicación a la lista con su ID de cliente. Para crear un ID de cliente, consulte Cambiar OAuth de Google a credenciales guardadas.
Todos los conectores compatibles aparecen en Credenciales guardadas para fuentes de datos en la página Configuración de la cuenta de Tableau Server. Los usuarios administran sus credenciales guardadas para cada conector.
Tokens de acceso para conexiones de datos
Puede incrustar credenciales basadas en tokens de acceso con conexiones de datos para habilitar el acceso directo después del proceso de autenticación inicial. Un token de acceso es válido hasta que un usuario Tableau Server o proveedor de datos lo revoca.
Es posible superar el número de tokens de acceso que permite un proveedor de fuente de datos. Si eso ocurre, cuando un usuario crea un nuevo token, el proveedor de datos usa el tiempo desde que se produce el último acceso para decidir qué token invalidar para dejar espacio para el siguiente.
Tokens de acceso para autenticarse desde clientes aprobados
De forma predeterminada, los sitios de Tableau Server permiten a los usuarios acceder a sus sitios directamente desde clientes aprobados de Tableau. Para ello, deben indicar sus credenciales la primera vez que inician sesión. Este tipo de autenticación también usa tokens de acceso de OAuth para almacenar las credenciales de los usuarios de forma segura.
Para obtener más información, consulte Deshabilitar la autenticación automática de cliente.
Conectores de cadena de claves gestionados de forma predeterminada
La cadena de claves hace referencia a la funcionalidad en la que el proveedor genera los tokens de OAuth para Tableau Server y los comparte todos los usuarios del mismo sitio. Cuando un usuario publica por primera vez una fuente de datos, Tableau Server solicita al usuario las credenciales de la fuente de datos. Tableau Server envía las credenciales al proveedor de la fuente de datos que devuelve tokens de OAuth para que Tableau Server los use en nombre del usuario. En las operaciones de publicación posteriores, se utiliza el token de OAuth almacenado por Tableau Server para la misma clase y nombre de usuario con el fin de que no se solicite al usuario las credenciales de OAuth. Si la contraseña de la fuente de datos cambia, el proceso anterior se repite y el token antiguo se reemplaza por un nuevo token en Tableau Server.
No se requiere una configuración adicional de OAuth en Tableau Server para los conectores de cadena de claves gestionados de forma predeterminada:
Google Analytics, Google BigQuery y Hojas de cálculo de Google (
- Salesforce
Límite de tokens y almacenamiento
Google tiene un límite de 50 tokens por usuario por aplicación cliente (en este caso, Tableau Server es la aplicación cliente). Dado que el token de OAuth se almacena en Tableau Server y el usuario lo reutiliza, es poco probable que el usuario supere el límite de tokens.
Todos los tokens de usuario se cifran en reposo cuando se almacenan en Tableau Server. Consulte Administrar secretos del servidor para obtener más información.
Eliminar registros de cadenas de clave no utilizados
Un registro de cadenas de clave administrado contiene atributos de conexión como dbClass, nombre de usuario y atributos secretos de OAuth. Todos los registros de cadenas de clave administrados en un sitio determinado se combinan, cifran y almacenan en PostgreSQL.
Se conservan incluso los registros de los libros de trabajo y las fuentes de datos que se han quitado. Con el tiempo, estos registros pueden crecer hasta tener un tamaño grande, lo que puede causar problemas.
Se recomienda purgar de forma periódica los registros de cadenas de clave no utilizados como una tarea de mantenimiento regular. Puede ver el número de registros y registros no utilizados almacenados en cada sitio. También puede eliminar registros no utilizados.
Para acceder a la Limpieza de cadenas de clave gestionadas, inicie sesión en las páginas de administración de Tableau Server, vaya al sitio donde desea eliminar los registros no utilizados y haga clic en Configuración.
Limitaciones de casos con cadena de claves gestionadas
No se admiten tres posibilidades al utilizar OAuth mediante una cadena de claves gestionada con Tableau Server:
Solicitar credenciales de OAuth en conexiones en tiempo real. Los usuarios deben incrustar credenciales en conexiones en tiempo real con una cadena de claves gestionada de OAuth.
Edición de la conexión de la fuente de datos de OAuth en Tableau Server.
Creación web
Conversión de la cadena de claves gestionada a credenciales guardadas
Puede convertir los conectores que utilizan la cadena de clave gestionada para usar credenciales guardadas configurando Tableau Server con un ID de cliente de OAuth y un secreto para cada conector. Al convertir estos conectores en credenciales guardadas, los usuarios podrán administrar sus credenciales para cada tipo de conector en la página Configuración de la cuenta en Tableau Server. Además, también se admiten solicitudes de conexión en tiempo real, conexiones de edición y creación web.
Configurar OAuth personalizado para un sitio
Para un subconjunto de conectores, puede configurar OAuth a nivel de sitio configurando clientes OAuth personalizados. Para obtener más información, consulte uno de los siguientes temas:
Para Azure Data Lake Storage Gen2, Azure SQL Database, Azure Synapse y Databricks, consulte Configurar OAuth personalizado para un sitio.
Para Dremio, consulte Configurar OAuth para Dremio.
Para Google Analytics, Google BigQuery y Hojas de cálculo de Google (obsoleto en Tableau 2022.1), consulte Configurar OAuth personalizado para un sitio.
Para Salesforce, consulte Configurar OAuth personalizado para un sitio.
Para Salesforce CDP, consulte Conectar Tableau Server a Salesforce Data Cloud.
Para Snowflake, consulte Configurar OAuth personalizado para un sitio.